Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

YAC wirus. FRST logi - Wyskakujące reklamy w chrome, przekierowywanie

fazi2007 11 Lut 2017 01:13 516 9
  • #1 11 Lut 2017 01:13
    fazi2007
    Poziom 9  

    Witam, proszę o pomoc, standardowo nie można usunąć. Przeglądarka wariuje (chrome), przekierowuje mnie na inne strony, otwierają się same nowe strony, wyskakują reklamy. Skanowałem komputer programami AdAware, JRT, jak i również czyściłem rejestr RegCleanerem. Nic nie pomogło.

    1. Przekierowywanie na strony o dziwnych domenach typu http://search5.fvpimageviewer.com/search/web?fcoid=417&q=dgg (następuję kiedy w pasku adresu nie wpiszę "www." , tylko zwykłe słowo)
    2. W lewym dolnym rogu wyskakuje Reklama za "5..4..3..2..1" powered by 3xhub, następnie otwiera na cały ekran nowe okno reklamy.
    3. I wiele innych dziwnych rzeczy.

    0 9
  • CControls
  • Pomocny post
    #2 11 Lut 2017 07:38
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    CloseProcess:
    Task: {62D58708-3581-45B9-82AB-784B0979BBA4} - System32\Tasks\Wgecultprahersh Schedule => C:\Program Files (x86)\Drogotionponopy\shgght.exe
    Task: {76E824B8-812A-4A4F-8823-0E9BFBA16FF4} - System32\Tasks\{329B63E5-C6A0-4DCA-8DCE-F8B2E7265D3B} => pcalua.exe -a "C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe"
    2017-02-09 21:36 - 2017-01-20 09:56 - 00256432 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSvc.dll
    2017-02-09 21:36 - 2016-12-02 06:43 - 00813056 ____N () C:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll
    2017-02-09 21:36 - 2016-05-23 03:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll
    2017-02-09 21:36 - 2017-01-20 09:56 - 00975080 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll
    2017-02-09 21:36 - 2016-12-02 05:45 - 00223864 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafenpf.dll
    Hosts:
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: F - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: {7b117979-d425-11e6-8ef6-d017c2d564f7} - E:\_AUTORUN\AUTORUN.EXE
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: {cd6585fd-becb-11e6-8011-d017c2d564f7} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\...\MountPoints2: {da141526-9d29-11e6-b3fd-806e6f6e6963} - D:\Bin\Instv2.exe
    BootExecute: autocheck autochk * lsdel.exe
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}




    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1856018360-2948660585-4012233217-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1856018360-2948660585-4012233217-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    FF Homepage: Firefox\Firefox\Profiles\aabdwqqb.default -> hxxp://www.searchinme.com/?type=hp&ts=148...rom=official&uid=TS128GSSD370S_C981012324
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    CHR DefaultSearchKeyword: ChromeDefaultData -> amisites
    CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\PepperFlash\pepflashplayer.dll => Brak pliku
    CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\pdf.dll => Brak pliku
    CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\pepflashplayer32_23_0_0_205.dll => Brak pliku
    CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll => Brak pliku
    CHR Profile: C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-11] <==== UWAGA
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-12-02] (Elex do Brasil Participações Ltda)
    S2 EggnessSU; "C:\Users\Maciek\AppData\Local\Temp\1\BaofengUpdate_U.exe" /i [X] <==== UWAGA
    S2 Voduphtharck; C:\Program Files (x86)\Drogotionponopy\anorikSystem.dll [X]
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
    R1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2017-02-10 02:50 - 2017-02-10 02:52 - 00000000 ____D C:\AdwCleaner
    2017-02-09 21:36 - 2017-02-09 21:36 - 00000000 ____D C:\Users\Maciek\AppData\Roaming\Elex-tech
    2017-02-09 21:36 - 2017-02-09 21:36 - 00000000 ____D C:\Program Files (x86)\Elex-tech
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #3 11 Lut 2017 09:25
    Kolobos
    Spec od komputerów

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • CControls
  • #4 11 Lut 2017 16:43
    fazi2007
    Poziom 9  

    Zrobione, folder Elex-Tech (YAC) nadal istnieje, nie da się go usunąć, w procesach iSafetray.exe nadal istenieje. Przy wchodzeniu teraz na elektrodę od razu przekierowało na stronę: notification.security-notice.xyz i później na jakąś inną - reklama sklepu biedronka.

    Po czynności z FRST, nic pozatym nie skanowałem, logi:

    0
  • #5 11 Lut 2017 16:50
    Kolobos
    Spec od komputerów

    To zbedny fixlog, miales zamiescic nowe logi ze skanowania.

    0
  • #7 11 Lut 2017 17:43
    Kolobos
    Spec od komputerów

    Nie pobieraj programow z dobrychprogramow przy pomocy ich menadzera pobierania, ktory instaluje szkodliwe dodatki.

    Zrob kopie zakladek z Chrome, skrypt usunie profil przegladarki. Masz jeszcze drugi profil Profile 1, mozesz zmienic na niego w ustawieniach Chrome.

    Nowy Fixlist.txt dla FRST:
    CloseProcesses:
    ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    2017-02-09 21:36 - 2017-01-20 09:56 - 00256432 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSvc.dll
    2017-02-09 21:36 - 2016-12-02 06:43 - 00813056 ____N () C:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll
    2017-02-09 21:36 - 2016-05-23 03:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll
    2017-02-09 21:36 - 2017-01-20 09:56 - 00975080 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll
    2017-02-09 21:36 - 2016-12-02 05:45 - 00223864 ____N () C:\Program Files (x86)\Elex-tech\YAC\iSafenpf.dll
    2017-02-09 21:36 - 2016-05-23 03:37 - 00179200 ____N () C:\Program Files (x86)\Elex-tech\YAC\libpng.dll
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe
    () C:\Program Files (x86)\Elex-tech\YAC\iSafeTray.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2016-10-28]
    ShortcutTarget: FAH.lnk -> C:\Program Files\WinZip\FAH\FAHConsole.exe (Nico Mak Computing)
    BootExecute: autocheck autochk * lsdel.exe
    HKU\S-1-5-21-1856018360-2948660585-4012233217-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1856018360-2948660585-4012233217-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&t...r1028&uid=TS128GSSD370S_C981012324&q={searchTerms}
    FF Extension: (FF Adr) - C:\Users\Maciek\AppData\Roaming\Firefox\Firefox\Profiles\aabdwqqb.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-02-09] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Maciek\AppData\Roaming\Firefox\Firefox\Profiles\aabdwqqb.default\searchplugins\searchinme.xml [2017-02-09]
    CHR Profile: C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-11] <==== UWAGA
    C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-12-02] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X]
    S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
    2017-02-11 16:27 - 2017-02-11 16:27 - 00000000 ____D C:\Users\Maciek\Downloads\FRST-OlderVersion
    2017-02-11 02:54 - 2016-05-19 07:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys
    2017-02-11 00:24 - 2017-02-11 00:24 - 01271544 _____ (Fiho ) C:\Users\Maciek\Downloads\RegCleaner-11442-dp.exe
    2017-02-11 00:24 - 2017-02-11 00:24 - 00553687 _____ C:\Users\Maciek\Downloads\RegCleaner(dobreprogramy.pl).exe
    2017-02-09 21:36 - 2017-02-09 21:36 - 00000000 ____D C:\Program Files (x86)\Elex-tech
    2017-01-19 21:59 - 2017-01-19 21:59 - 00000000 _____ C:\Program Files (x86)\metadata
    2017-02-10 22:47 - 2017-02-11 00:19 - 0000040 _____ () C:\Program Files (x86)\settings.dat
    EmptyTemp:


    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/


    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #8 11 Lut 2017 18:23
    fazi2007
    Poziom 9  

    A więc tak, z zakładkami już było i tak za późno, bo po wykonaniu pierwszego skryptu usunęło je.
    Wykonanie skryptu drugiego i skan AdwCleanerem zrobione, ale YAC nadal istniał, dopiero został usunięty przy użyciu Mbam'a. Obecnie chciałem wykonać skan FRST, ale program po naciśnięciu polecenia "skanuj" sam się wyłącza. Mimo to wygląda, że komputer jest w końcu czysty.

    Oczywiście dziękuję za pomoc, i narazie nie zamykam tematu, bo nie wiem czy jednak problem został definitywnie zażegnany.

    @edit
    Ściągnałem od nowa FRST, i zrobiłem nowe skany:

    0
  • #9 11 Lut 2017 19:13
    krzychupar
    Poziom 40  

    W logach czysto infekcji brak. Możesz usunąć folder C:\FRST i zamknąć temat.

    0
  • #10 11 Lut 2017 19:19
    fazi2007
    Poziom 9  

    A więc czysto, dziękuję raz jeszcze.

    0